MongoDB库漏洞引发Node.js服务器远程代码执行风险
💡
原文中文,约800字,阅读约需2分钟。
📝
内容提要
OPSWAT报告指出,MongoDB的Mongoose库存在两个严重漏洞,可能导致Node.js应用服务器的远程代码执行(RCE)。第一个漏洞CVE-2024-53900允许攻击者利用_$where_值进行RCE,第二个漏洞CVE-2025-23061是对第一个漏洞补丁的绕过,尽管增加了检查,但仍存在安全隐患。
🎯
关键要点
- OPSWAT报告指出MongoDB的Mongoose库存在两个严重漏洞,可能导致Node.js应用服务器的远程代码执行(RCE)。
- 第一个漏洞CVE-2024-53900允许攻击者利用$where值进行RCE。
- 第二个漏洞CVE-2025-23061是对第一个漏洞补丁的绕过,尽管增加了检查,但仍存在安全隐患。
- Mongoose广泛用于生产环境,能够将JavaScript对象映射到MongoDB文档,简化数据管理和验证。
- 漏洞的根源在于Mongoose的一个函数将$where值传递给外部库的函数,缺乏输入验证。
- 补丁增加了检查,禁止将$where操作符传递给易受攻击的函数,但仍可通过嵌入到$or操作符中绕过。
➡️
